Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
saldırı yüzeyi azaltma özelliklerini değerlendirirken olayları Olay Görüntüleyicisi gözden geçirmek yararlı olur. Örneğin, özellikler veya ayarlar için denetim modunu etkinleştirebilir ve ardından tam olarak etkinleştirildiğinde neler olacağını gözden geçirebilirsiniz. Tam olarak etkinleştirildiğinde saldırı yüzeyi azaltma özelliklerinin etkilerini de görüntüleyebilirsiniz.
Bu makalede, windows Olay Görüntüleyicisi kullanarak saldırı yüzeyini azaltma (ASR) özelliklerine ait olayları görüntüleme işlemleri açıklanmaktadır:
Saldırı yüzeyi azaltma olaylarını görüntülemek için, bu makalenin geri kalanında açıklandığı gibi aşağıdaki seçeneklere sahipsiniz:
- Windows Olay Görüntüleyicisi saldırı yüzeyi azaltma olaylarına göz atın: Olay Görüntüleyicisi saldırı yüzeyi azaltma olaylarına ve her saldırı yüzeyi azaltma özelliği için olay kimliklerine gitme.
- Saldırı yüzeyi azaltma olaylarını görüntülemek için Windows Olay Görüntüleyicisi'da özel görünümler kullanın: Belirli ASR özellikleri ve kullanıma hazır XML sorgu şablonları için Olay Görüntüleyicisi filtrelemek üzere özel görünümler oluşturma veya içeri aktarma.
İpucu
Birden çok cihazdan saldırı yüzeyi azaltma olay koleksiyonunu merkezileştirmek için Windows Olay İletme'yi kullanabilirsiniz.
Microsoft Defender portalı, windows Olay Görüntüleyicisi daha kolay kullanılan saldırı yüzeyi azaltma özellikleri için raporlama da sağlar:
Windows Olay Görüntüleyicisi'da saldırı yüzeyi azaltma olaylarına göz atın
Tüm saldırı yüzeyi azaltma olayları Uygulamalar ve Hizmet Günlükleri'nde bulunur. Saldırı yüzeyi azaltma olaylarını görüntülemek için aşağıdaki adımları uygulayın:
Başlat'ı seçin, Olay Görüntüleyicisi yazın ve enter tuşuna basarak Olay Görüntüleyicisi açın.
Olay Görüntüleyicisi'da Uygulama ve Hizmet GünlükleriMicrosoft>Windows'u> genişletin.
Aşağıdaki alt bölümlerde açıklandığı gibi farklı saldırı yüzeyi azaltma olayları için yolu genişletmeye devam edin.
Aşağıdaki alt bölümlerde açıklandığı gibi görmek istediğiniz olayları bulun ve filtreleyin.
ASR kuralı olayları
ASR kuralı olayları Windows Defender>İşletim günlüğünde bulunur:
| Olay Kimliği | Açıklama |
|---|---|
| 1121 | Kuralın blok modunda tetiklenmesi olayı |
| 1122 | Kural denetim modunda tetiklendiğinde gerçekleşen olay |
| 1129 | Kullanıcı uyarı modunda bloğu geçersiz kıldığında gerçekleşen olay |
| 5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
Denetimli klasör erişim olayları
Denetimli klasör erişim olayları Windows Defender>İşletimsel'de bulunur.
| Olay Kimliği | Açıklama |
|---|---|
| 5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
| 1124 | Denetlenen denetimli klasör erişimi olayı |
| 1123 | Engellenen denetimli klasör erişimi olayı |
| 1127 | Engellenen denetimli klasör erişimi kesim yazma bloğu olayı |
| 1128 | Denetlenen denetimli klasör erişimi kesimi yazma bloğu olayı |
Güvenlik açığından yararlanma koruma olayları
Aşağıdaki güvenlik açığından yararlanma koruması olayları, Güvenlik Azaltmaları>Çekirdek Modu ve Güvenlik AzaltmalarıKullanıcı Modu günlüklerinde > bulunur:
| Olay Kimliği | Açıklama |
|---|---|
| 1 | ACG denetimi |
| 2 | ACG zorlama |
| 3 | Alt işlemlerin denetimine izin verme |
| 4 | Alt işlemler bloğuna izin verme |
| 5 | Düşük bütünlük görüntülerin denetimini engelle |
| 6 | Düşük bütünlükte görüntüleri engelleme bloğu |
| 7 | Uzak görüntülerin denetimini engelle |
| 8 | Uzak görüntüleri engelle bloğu |
| 9 | win32k sistem çağrıları denetimini devre dışı bırak |
| 10 | win32k sistem çağrıları bloğunu devre dışı bırakma |
| 11 | Kod bütünlüğü koruyucusu denetimi |
| 12 | Kod bütünlüğü koruma bloğu |
| 13 | EAF denetimi |
| 14 | EAF zorlama |
| 15 | EAF+ denetimi |
| 16 | EAF+ zorlama |
| 17 | IAF denetimi |
| 18 | IAF zorlama |
| 19 | ROP StackPivot denetimi |
| 20 | ROP StackPivot zorlama |
| 21 | ROP Çağıranı Denetimi denetleme |
| 22 | ROP CallerCheck zorlama |
| 23 | ROP SimExec denetimi |
| 24 | ROP SimExec zorlama |
Aşağıdaki açıktan yararlanma koruması olayı WER Tanılama>İşlem günlüğünde bulunur:
| Olay Kimliği | Açıklama |
|---|---|
| 5 | CFG Bloğu |
Aşağıdaki açıktan yararlanma koruması olayı Win32k>İşletim günlüğünde bulunur:
| Olay Kimliği | Açıklama |
|---|---|
| 260 | Güvenilmeyen Yazı Tipi |
Ağ koruma olayları
Ağ koruma olayları Windows Defender>İşletimsel'de bulunur.
| Olay Kimliği | Açıklama |
|---|---|
| 5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
| 1125 | Ağ koruması denetim modunda tetiklendiğinde gerçekleşen olay |
| 1126 | Ağ koruması blok modunda tetiklendiğinde gerçekleşen olay |
Saldırı yüzeyi azaltma olaylarını görüntülemek için Windows Olay Görüntüleyicisi'da özel görünümler kullanma
Yalnızca belirli saldırı yüzeyi azaltma özelliklerine yönelik olayları görmek için Windows Olay Görüntüleyicisi'da özel görünümler oluşturabilirsiniz. En kolay yol, özel görünümü XML dosyası olarak içeri aktarmaktır. XML'yi doğrudan Olay Görüntüleyicisi kopyalayabilirsiniz.
Kullanıma hazır XML şablonları için saldırı yüzeyi azaltma olayları için özel XML şablonları bölümüne bakın.
Var olan bir XML özel görünümünü içeri aktarma
Boş bir .txt dosyası oluşturun ve kullanmak istediğiniz özel görünüm için XML'yi .txt dosyasına kopyalayın. Kullanmak istediğiniz özel görünümlerin her biri için bu adımı uygulayın. Dosyaları aşağıdaki gibi yeniden adlandırın (türü .txt .xml olarak değiştirdiğinizden emin olun):
- Denetimli klasör erişimi olayları özel görünümü: cfa-events.xml
- Yararlanma koruması olayları özel görünümü: ep-events.xml
- Saldırı yüzeyi azaltma olayları özel görünümü: asr-events.xml
- Ağ koruma olayları özel görünümü: np-events.xml
Başlat'ı seçin, Olay Görüntüleyicisi yazın ve enter tuşuna basarak Olay Görüntüleyicisi açın.
Eylem>Özel Görünümü İçeri Aktar... seçeneğini belirleyin.
İstediğiniz özel görünümün XML dosyasına gidin ve seçin.
Aç'ı seçin.
Özel görünüm yalnızca bu özellikle ilgili olayları gösterecek şekilde filtrelenir.
XML'yi doğrudan kopyalama
Başlat'ı seçin, Olay Görüntüleyicisi yazın ve enter tuşuna basarak Olay Görüntüleyicisi açın.
Eylemler bölmesinde Özel Görünüm Oluştur... öğesini seçin.
XML sekmesine gidin ve Sorguyu el ile düzenle'yi seçin. Bir uyarı, XML seçeneğini kullanırken Filtre sekmesini kullanarak sorguyu düzenleyememenizi gösterir. Evet'i seçin.
Olayları filtrelemek istediğiniz özelliğin XML kodunu XML bölümüne yapıştırın.
Tamam'ı seçin. Filtreniz için bir ad belirtin. Özel görünüm yalnızca bu özellikle ilgili olayları gösterecek şekilde filtrelenir.
Saldırı yüzeyi azaltma olayları için özel XML şablonları
Saldırı yüzeyi azaltma kuralı olayları için XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
Denetimli klasör erişim olayları için XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
Açıklardan yararlanma koruması olayları için XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
Ağ koruma olayları için XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>